Tội phạm mạng có nhiều "kịch bản" lừa đảo khi nắm được tên và địa chỉ e-mail của bạn. Sẽ nguy hại hơn nữa nếu chúng biết cả số điện thoại, địa chỉ thư tín, 4 số cuối mã thẻ tín dụng...
Khi công ty Zappos thông báo với khách hàng của mình rằng "các dữ liệu giao dịch qua thẻ tín dụng và các phương thức khác KHÔNG bị ảnh hưởng hay truy cập trái phép" sau khi các dữ liệu quan trọng về thông tin khách hàng của doanh nghiệp bán giày dép trực tuyến này bị rò rỉ vào đầu tháng, đó là một sự an ủi về mặt tinh thần. Các dữ liệu bị rò rỉ bao gồm tên tuổi, địa chỉ, nơi nhận hóa đơn, nơi nhận hàng, số điện thoại và 4 số cuối của thẻ tín dụng của 24 triệu khách hàng.
Những khách hàng này có thể sẽ không bị ảnh hưởng ngay, họ sẽ không thấy có bất kỳ một giao dịch bất thường nào qua thẻ tín dụng hay một sự xâm nhập trái phép nào đó trong khoảng thời gian ngắn kể từ khi các dữ liệu quan trọng này bị thất thoát. Nhưng không có nghĩa là họ AN TOÀN.
Vậy những nạn nhân không may mắn này phải lo lắng về điều gì? Các chuyên gia bảo mật cho rằng nguy cơ sẽ đến theo nhiều cách. Nhẹ nhất là việc hòm thư điện tử bị spam cho đến việc trở thành mục tiêu của việc lừa đảo qua mạng (phishing), qua đó các dữ liệu khác như mật khẩu, toàn bộ số thẻ tín dụng hoặc số an sinh xã hội sẽ có nguy cơ bị lộ.
Những tin tặc đột nhập thành công trang web của Zappos đã có tất cả những thông tin đó. Các vụ rò rỉ thông tin khác được tin tặc tiến hành nhằm vào các máy chủ web thường chỉ lấy được tên tuổi và địa chỉ e-mail. Cho dù quy mô các vụ đột nhập như vậy lớn hay nhỏ, chúng đều làm chúng ta nghĩ tới các nghi vấn sau:
• Tại sao những thông tin đó có giá trị đối với tội phạm mạng?
• Những thông tin đó có giá trị về tiền bạc là bao nhiêu?
• Tội phạm mạng cần tối thiểu những thông tin gì?
• Sau khi đột nhập, khoảng bao lâu sau tin tặc sẽ sử dụng thông tin chúng lấy được?
• Người dùng sẽ gặp rủi ro gì khi tin tặc lấy được những thông tin này?
• Hậu quả của vấn đề.
Hãy xem xét từng điểm một.
Tại sao những thông tin đó có giá trị đối với tội phạm mạng?
Thông tin cá nhân chính là tiền trong nền kinh tế "ngầm". Đó là mục đích chính của giới tội phạm mạng. Các dữ liệu lấy được sẽ được bán cho nhiều bên khác nhau, bao gồm: những kẻ chuyên lừa đảo mạo danh, các băng đảng tội ác có tổ chức, spammer (cá nhân hoặc tổ chức chuyên gửi thư rác) và những kẻ điều hành botnet (mạng gồm nhiều máy tính bị xâm nhập và bí mật chịu sự điều khiển từ xa). Những cá nhân hay tổ chức này sử dụng thông tin cá nhân mất cắp của các nạn nhân để phục vụ mục đích phi pháp kiếm được nhiều tiền hơn nữa.
Ví dụ, với các spammer, danh sách email mua được sẽ được dùng để chào bán Viagra và Cialis. Các spammer này thường kiếm được 1 USD/lần nhấn chuột dựa trên tỷ lệ phản hồi từ website nhà cung cấp hay do người dùng nhấn chuột vào các quảng cáo pop-up thường được thiết kế nhảy xổ ra bất thình lình ngay trước con trỏ chuột của người xem. Trong khi đó, những kẻ lừa đảo mạo danh lại sử dụng địa chỉ email của nạn nhân để thực hiện các vụ lừa đảo phishing hòng lấy được các thông tin khác giá trị hơn về tài khoản ngân hàng và thẻ tín dụng.
Rod Rasmussen chủ tịch kiêm nhiệm giám đốc kỹ thuật của Internet Identity, một công ty bảo mật Internet có trụ sở ở Tacoma, Washington cho rằng các tổ chức tội phạm mạng giao dịch các thông tin này với nhau nhằm có thể có thể có được thông tin càng hoàn chỉnh về nạn nhân càng tốt. Ông nói: "Quan điểm của tôi là nếu [tội phạm mạng] càng có nhiều thông tin, chúng càng có thể tiến hành các hành vi nguy hiểm và tác hại mạnh hơn. Và chúng sẽ có trong tay thông tin đầy đủ của nạn nhân từ tên họ, số thẻ tín dụng, số PIN, địa chỉ email, số điện thoại khi tiến hành thu thập các dữ liệu kiểu này từ nhiều nguồn khác nhau".
Những thông tin đó có giá trị về tiền bạc là bao nhiêu?
 |
Giới bảo mật thông tin cá nhân cho biết, thông tin tên tuổi một cá nhân hoặc địa chỉ thư điện tử có giá khoảng 1 USD tùy thuộc vào dữ liệu đó mới hay cũ. Rasmussen cho biết: "Có quá nhiều dữ liệu trôi nổi ở ngoài kia, và chúng rất dễ dàng được giao dịch ở thế giới ngầm. Thậm chí có khi số thẻ tín dụng cũng có giá dưới 1USD".
Số tiền nhỏ nhoi này thoạt nghe thì cũng chẳng đáng gì, song nếu con số lên tới hàng triệu nạn nhân thì đây lại là một khoản tiền lớn. Lấy trường hợp Zappos ở đầu bài làm ví dụ: nếu quả thật tin tặc có được dữ liệu 24 triệu khách hàng của doanh nghiệp này, chúng chỉ cần bán từng gói 5 triệu e-mail với giá nửa đô-la một đơn vị là có ngay 250.000 USD cho mỗi lần giao dịch thành công chỉ từ kết quả của một lần đột nhập đánh cắp thành công.
Những tổ chức/cá nhân điều hành mạng botnet còn kiếm được nhiều tiền hơn thế. Stu Sjouwerman, nhà sáng lập và CEO của tổ chức KnowB4, một đơn vị đào tạo về nhận thức bảo mật Internet, nêu ví dụ một mạng botnet có 100.000 máy tính thành viên. Khách hàng có nhu cầu cần gửi thư rác sẽ phải thuê mạng này với giá 1.000 USD/giờ.
Còn trong trường hợp một gói dữ liệu lớn như dữ liệu 24 triệu khách hàng của Zappos, nó sẽ rất có giá trị để spam thông tin cũng như gửi email chứa các mã độc hại. Chỉ cần 20% số khách hàng này nhận e-mail và "dính" mã độc là mạng botnet đã có thể có thêm chừng 5 triệu thành viên mới bổ sung chỉ bằng cách gửi email. Lúc đó chủ nhân mạng botnet này có thể đòi số tiền cao gấp 5 lần so với trước, tức 5.000USD/giờ". Sjouwerman nói thêm: "Đám này đặt tiền bạc lên trên hết". Tất nhiên, các hành động phi pháp này đồng nghĩa với việc sẵn sàng lãnh án hình sự, ngồi tù và bồi thường tài chính.
Tội phạm mạng cần tối thiểu những thông tin gì?
Các chuyên gia về an ninh thông tin cho biết tất cả các tội phạm mạng đều bắt đầu với địa chỉ e-mail của mỗi cá nhân, bằng cách đó, ít nhất chúng cũng có thể làm hộp thư của nạn nhân bị ngập trong thư rác. Để lấy cắp danh tính của nạn nhân hoặc gian lận thẻ tín dụng, tội phạm mạng cần có mật khẩu, số thẻ tín dụng hoặc số an sinh xã hội. Một khi đã có trong tay địa chỉ hòm thư điện tử, chúng có thể dần dần thu thập nhiều thông tin có giá trị hơn bằng cách gửi email phishing hoặc email chứa phần mềm độc hại.
Một số thư điện tử dạng này có đính kèm phần mềm theo dõi bàn phím (key logger) ghi nhận các thông tin người dùng gõ vào từ bàn phím và lấy cắp các thông tin về tên và mật khẩu của các tài khoản trực tuyến của họ. Nếu không may trong số các tài khoản này có tài khoản ngân hàng thì chúng sẽ mau mắn vét sạch.
Rasmussen cho biết trong trường hợp tội phạm mạng chỉ có được 4 số cuối của thẻ tín dụng hay thẻ ghi nợ của nạn nhân thì chúng vẫn có thể sử dụng những con số này để tiến hành yêu cầu cấp lại mật khẩu người dùng trên các trang thương mại điện tử mà người dùng có tham gia. Kết quả là chúng sẽ có thể tiến hành mua sắm với tài khoản này của nạn nhân, nhưng thường thì chúng sẽ "bán cho những người có nhu cầu tấn công khác" – Rasmussen nói thêm.
(Xem tiếp trang 2)
Nguồn: CIO
0 nhận xét:
Đăng nhận xét